Kebijakan keamanan komputer adalah seperangkat protokol keamanan yang ditetapkan pengguna atau organisasi untuk komputer mereka. Ini biasanya mencakup deteksi intrusi, pengaturan firewall, kata sandi akses pengguna, login, dan prosedur untuk menggunakan aplikasi perangkat keras dan perangkat lunak tertentu. Jenis kebijakan keamanan komputer yang digunakan dapat sangat bervariasi untuk bisnis yang berbeda dan jaringan komputer rumah.
Departemen teknologi informasi organisasi biasanya bertanggung jawab untuk menentukan dan menyiapkan kebijakan keamanan komputer. Departemen harus menetapkan seperangkat protokol mengenai akses tingkat pengguna. Misalnya, beberapa pengguna mungkin diberikan izin untuk fungsi dan paket perangkat lunak tertentu yang tidak diberikan oleh yang lain. Dalam beberapa kasus, jenis akses tertentu dibatasi untuk semua karyawan. Contoh umum adalah bahwa pengguna komputer di sebagian besar tempat bisnis dilarang mengunjungi situs web tertentu yang berisi materi yang tidak pantas atau mengizinkan pekerja melakukan bisnis pribadi saat bekerja.
Keamanan eksternal adalah komponen vital dari setiap model kebijakan. Metode enkripsi dan jaringan pribadi dapat digunakan untuk mencegah akses yang tidak diinginkan. Selain itu, kebijakan keamanan komputer juga dapat menetapkan firewall dan pengaturan keamanan individu.
Bagian dari kebijakan keamanan komputer menentukan bagaimana data dapat disimpan dan ditransfer antar pengguna. Beberapa protokol memungkinkan data untuk ditransfer dari workstation individu pengguna ke drive eksternal atau diunggah sebagai lampiran email. Kebijakan lain mungkin membatasi hak istimewa tersebut dan hanya mengizinkan pengguna untuk berbagi data di folder jaringan umum. Akses jarak jauh ke program dan folder jaringan tertentu mungkin diizinkan dengan kredensial login tertentu.
Bagian besar lainnya dari kebijakan keamanan komputer menentukan bagaimana pengguna dapat mengakses Internet dan program yang mengirim data melaluinya, seperti email dan pesan instan. Hal ini cukup umum untuk kebijakan keamanan komputer untuk memberikan akses dan penggunaan beberapa program ini untuk pengguna tertentu sementara membatasi yang lain. Misalnya, di pusat panggilan, posisi tingkat yang lebih tinggi yang memerlukan jumlah komunikasi yang lebih besar mungkin memerlukan akses ke alat ini, sementara agen tingkat yang lebih rendah yang terutama menerima panggilan masuk akan menganggapnya mengganggu. Beberapa perusahaan menerapkan kebijakan menyeluruh dan hanya memberikan akses kepada staf manajerial.
Kebijakan pemulihan bencana terkadang merupakan bagian dari protokol keamanan komputer formal. Sebagian besar area keamanan ini berkaitan dengan penyimpanan cadangan dan siapa yang dapat mengakses data tertentu jika terjadi bencana alam yang menghapus sistem lengkap. Perencanaan untuk infeksi virus atau server crash juga dapat mempengaruhi kebijakan backup data. Departemen teknologi informasi suatu organisasi biasanya akan bertanggung jawab untuk merancang rencana pemulihan, menetapkan titik kontak dan tanggung jawab, dan mendidik pengguna di tempat kerja tentang apa yang harus dilakukan untuk mempersiapkan peristiwa semacam itu.